BitLocker, TPM Tidak Membela Semua PC Terhadap VBootkit 2.0

Modul Platform Tepercaya dan Enkripsi Pengandar BitLocker dapat melindungi komputer Windows 7 terhadap serangan bootkit yang diluncurkan minggu lalu tetapi teknologi ini tidak akan tersedia pada sebagian besar komputer, membuat jutaan pengguna tidak terlindungi ketika Microsoft merilis versi berikutnya dari Windows.

VBootkit 2.0 adalah kode bukti konsep yang diresmikan oleh peneliti keamanan Vipin Kumar dan Nitin Kumar, dari NVLabs, pada konferensi keamanan Hack In The Box (HITB) yang diadakan di Dubai minggu lalu. Kode, yang hanya berukuran 3KB, memungkinkan penyerang untuk mengendalikan komputer Windows 7 dengan menambal file saat mereka dimuat ke dalam memori utama sistem. Karena tidak ada perangkat lunak yang dimodifikasi pada hard disk komputer, serangannya hampir tidak terdeteksi.

VBootkit 2.0 adalah versi terbaru dari alat sebelumnya, yang disebut VBootkit 1.0, yang dapat mengendalikan komputer Windows Vista dengan metode yang serupa.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Dengan VBootkit 2.0, sekali penyerang telah menguasai komputer Windows 7 selama proses boot, mereka dapat memperoleh akses tingkat sistem ke komputer, tingkat tertinggi yang mungkin. Mereka juga dapat menghapus kata sandi pengguna untuk mendapatkan akses ke file yang dilindungi dan menghapus perlindungan DRM (manajemen hak digital) dari file multimedia. Kata sandi kemudian dapat dipulihkan, menyembunyikan bukti bahwa itu telah dikompromikan.

"Tidak ada perbaikan untuk ini. Ini tidak dapat diperbaiki. Ini masalah desain," Vipin Kumar mengatakan selama presentasinya minggu lalu, mengacu pada asumsi Windows 7 bahwa proses boot aman dari serangan.

Sebagai tanggapan, perwakilan Microsoft mengatakan dukungan Windows 7 untuk Trusted Platform Module (TPM) dan BitLocker Drive Encryption (BDE) berarti serangan itu "batal," mengecilkan ancaman bagi pengguna.

Pernyataan itu sebagian benar. TPM adalah mikrokontroler yang berisi kunci enkripsi dan tanda tangan digital, menambahkan tingkat keamanan ekstra melalui otentikasi perangkat keras dari file perangkat lunak. BDE adalah fitur perlindungan data yang tersedia di beberapa versi Windows Vista yang bekerja dengan mengenkripsi data pada hard disk komputer. Ini adalah perlindungan kuat yang bertahan terhadap serangan bootkit tetapi tidak tersedia di semua komputer.

"TPM dan BitLocker (secara kolektif) akan menghentikan VBootkit agar tidak berfungsi. Tetapi TPM tidak tersedia di PC konsumen - sebagian besar dari mereka - dan BitLocker hanya tersedia di edisi Vista kelas atas, "Nitin Kumar menulis dalam email.

Membatasi BitLocker ke versi Windows Vista high-end, yang harganya lebih mahal daripada versi lain, disengaja. Microsoft mengelompokkan Windows ke dalam berbagai versi dengan harga bervariasi untuk menargetkan pasar yang berbeda. Karena pelanggan korporat bersedia membayar lebih untuk fitur keamanan seperti BitLocker, kemampuan ini tidak ditawarkan dengan versi sistem operasi yang lebih murah. Itu adalah pendekatan cerdas dari pemasaran produk dan sudut pandang penjualan, tetapi meninggalkan jutaan pengguna tanpa tingkat perlindungan yang sama.

BitLocker tidak akan tersedia di semua versi Windows 7, sesuai dengan rencana terbaru Microsoft. Ini akan tersedia sebagai fitur dari Windows 7 Enterprise dan Windows 7 Ultimate, tetapi tidak akan menjadi bagian dari empat versi lain dari sistem operasi: Profesional, Home Premium, Home Basic dan Starter. Itu berarti komputer dengan rasa Windows 7 ini, yang kemungkinan mewakili sebagian besar pengguna Windows 7, tidak akan terlindung dari serangan mirip VBootkit.

Bukti-konsep kode yang ditunjukkan di HITB Dubai mewakili keamanan terbatas ancaman karena penyerang harus memiliki kontrol fisik komputer untuk menggunakan VBootkit 2.0, memuat perangkat lunak dengan CD-ROM, stik memori USB atau melalui port FireWire. Tapi itu tidak berarti kode tidak dapat dimodifikasi untuk serangan jarak jauh.

Prekursor VBootkit, yang disebut Bootkit, dirilis di bawah lisensi open-source dan telah dimodifikasi oleh orang lain untuk serangan jarak jauh terhadap komputer yang menjalankan Windows XP, kata Nitin Kumar.

VBootkit 2.0 dapat dimodifikasi untuk digunakan sebagai virus BIOS, PXE (Lingkungan Eksekusi Boot Awal), atau virus boot normal. Akibatnya, NVLabs berencana untuk menjaga kode VBootkit 2.0 tetap tersembunyi. "Kami tidak memiliki rencana untuk menjadikannya open source, karena kemungkinan penyalahgunaan," katanya.

Meskipun ada beberapa kenyamanan dalam keputusan NVLabs untuk tidak merilis kode VBootkit 2.0, sejarah telah menunjukkan bahwa jika satu grup peneliti keamanan dapat menemukan dan mengeksploitasi kerentanan, kelompok atau individu lain dapat mengeksploitasinya juga.